Hizmet olarak siber suçlar, Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar
Bitdefender, Solmayan Sea Haze’in Gelişmiş Siber Casusluk Taktiklerini Ortaya Çıkarıyor
Prajeet Nair (@prajeetspeaks) •
22 Mayıs 2024
Daha önce tespit edilmemiş ve şüphelenilen bir Çin devleti tehdit aktörü, neredeyse yirmi yıl önce yaratılmasından bu yana Çinli bilgisayar korsanlarının favorisi olan uzaktan erişim Truva Atı ile yıllardır Güney Çin Denizi’ndeki hükümetleri hedef alıyor.
Ayrıca bakınız: Küçük İşletme Güvenlik Duvarı Kılavuzu
Bitdefender’ın güvenlik araştırmaları çarşamba günü, Unfading Sea Haze adını verdiği tehdit aktörünün daha önce bilinen bir Pekin tehdit aktörü gibi görünmediğini ancak Çin kökenli olduğuna dair işaretler gösterdiğini söyledi.
En bariz gösterge hedeflerdir; çünkü Çin onlarca yıldır agresif bir şekilde Güney Çin Denizi’ne uluslararası düzeyde tanınan sınırları aşarak hakimiyet kurmaya çalışmaktadır. Grubun casusluk konusunda tutarlı bir odağı var. Saldırganlar, güvenliği ihlal edilmiş sistemlerden hassas bilgiler toplamak için keylogger’ları, tarayıcı veri hırsızlarını ve diğer özel araçları kullanır. Ayrıca çalınan verileri sunucularına güvenli bir şekilde aktarmak için özel bir veri filtreleme aracı olan DustyExfilTool’u kullanıyorlar.
Grubu Pekin’e bağlayan teknik göstergeler arasında, APT41, Winnti, Wicked Panda ve Wicked Spider olarak takip edildiği bilinen bir Pekin bilgisayar korsanlığı grubuna bağlı bir arka kapıdaki özelliğe benzeyen, SharpJSHandler olarak bilinen bir web kabuğu alternatifinin konuşlandırılması yer alıyor.
Unfading Sea Haze ayrıca, C. Rufus Güvenlik Ekibi adlı Çinli bir bilgisayar korsanlığı grubunun 2008’de halka açık hale getirmesinden bu yana Çinli suçlular ve devlet destekli bilgisayar korsanları tarafından kullanılan bir araç olan Gh0ST RAT çerçevesinin birden çok yinelemesini kullandı.
Bu yılın başlarında Çinli bir devlet yüklenicisinden gelen sızıntılar, Çinli bilgisayar korsanlığı grupları arasındaki örtüşmenin, en azından kısmen, benzer araçlarla birden fazla kampanyayı destekleyen bilgisayar korsanlığı yüklenicilerine atfedilebileceğini gösteriyor. Bu, Çin devletindeki bilgisayar korsanlığı gruplarının merkezi araç ve teknik havuzlarından faydalandığını öne süren Çin bilgisayar korsanlığının “levazım sorumlusu” teorisine daha fazla güven veriyor (bkz: iSoon Sızıntısı Çin APT Gruplarına Bağlantıları Gösteriyor).
Bitdefender’ın soruşturması, çoğunlukla hükümet ve askeri kurumlardan oluşan en az sekiz kurbanı tespit etti.
Unfading Sea Haze, Gh0st RAT’ın eski sürümlerinden daha gelişmiş modüler varyantlara kadar bir dizi özel kötü amaçlı yazılım kullanıyor. Soruşturma, bu araçların çok sayıda tekrarını belgeledi; bu da karmaşıklık ve gizlilik açısından bir evrime işaret ediyor.
Saldırganlar, kötü amaçlı kodu diske yazmak yerine bellekte çalıştıran dosyasız saldırı yöntemlerini kullanıyor ve bu da tespit edilmesini zorlaştırıyor. Böyle bir yöntem, uzak SMB paylaşımlarından kod yürütmek için Microsoft’un MSBuild aracını kullanır ve geleneksel dosya tabanlı algılamayı ortadan kaldırır.
DLL yandan yükleme, bilgisayar korsanlığı grubu tarafından kullanılan başka bir önemli tekniktir. Yöntem, meşru programların kötü amaçlı DLL dosyalarını yüklemeleri için kandırılmasını ve saldırganların kodlarını güvenilir yazılım kisvesi altında yürütmesine olanak sağlamayı içeriyor. Araştırmacılar, bilgisayar korsanlarının mspaint.exe ve onu kötü amaçlı bir DLL içeren bir dizine yerleştirmek.
SharpJSHandler aracının kullanımı, grubun kalıcılığı sürdürme konusundaki yenilikçi yaklaşımını vurgulamaktadır. SharpJSHandler, bir web kabuğuna benzer şekilde çalışır ve kodlanmış JavaScript kodunu HTTP istekleri veya Dropbox ve OneDrive gibi bulut depolama hizmetleri aracılığıyla yürütür ve bu da algılama çabalarını karmaşık hale getirebilir.
Araştırmacılar, 1 Mart 2018’den 20 Ocak 2022’ye kadar bilgisayar korsanlarının DustyExfilTool’u kullanarak verileri sızdırdığı sonucuna vardı. Giriş olarak dosya yolunu, sunucu IP adresini ve bağlantı noktasını alan bu komut satırı aracı, dosyaları TCP üzerinden TLS aracılığıyla güvenli bir şekilde aktarır.
Saldırganlar, Ocak 2022’den itibaren, başlangıçta sabit kodlanmış kimlik bilgilerini kullandıktan sonra, sızma için curl yardımcı programını ve FTP protokolünü kullanmaya başladı.
2023’ten bu yana, artık rastgele oluşturulmuş görünen FTP kimlik bilgilerini sık sık değiştirerek daha dinamik bir yaklaşım benimsediler. Bu değişiklik operasyonel güvenliği artırmaya yönelik bir çabayı akla getiriyor.
Araştırmacılar, saldırganların genellikle zayıf kimlik bilgileri hijyeninden ve yetersiz yama uygulamalarından yararlanarak güvenliği ihlal edilmiş sistemlere yeniden erişim elde ettiklerini söyledi.